Accord de sous-traitance (RGPD, art. 28)
Dernière mise à jour : 22 juin 2026
Ce document encadre le traitement des données personnelles que Solencis Kids effectue pour le compte de votre crèche. Il complète les conditions générales et la politique de confidentialité. Il prend effet dès l'activation du service et doit être accepté avant tout import de données.
1. Parties
Le Responsable du traitement : la crèche / le milieu d'accueil titulaire de l'abonnement (ci-après « le Responsable »), qui détermine les finalités et les moyens du traitement.
Le Sous-traitant : Solencis — Cyril Polizzi, Avenue de la Petite Suisse 16, 6001 Charleroi, Belgique — BCE BE 0765.633.470 — contact@solencis.com (ci-après « Solencis »), qui traite les données pour le compte du Responsable via le service Solencis Kids.
2. Objet, durée, nature et finalité
Solencis traite les données personnelles uniquement pour fournir le service de gestion de crèche (la « Prestation ») : gestion des enfants et familles, présences, facturation, santé/suivi, personnel, communication, portail parents, et fonctions d'assistance par IA. Le traitement dure le temps du contrat d'abonnement, augmenté des délais légaux de conservation puis de la phase de restitution/suppression.
3. Catégories de données et de personnes concernées
- Personnes : enfants accueillis, parents/responsables légaux, personnel et intervenants, contacts.
- Données ordinaires : identité, coordonnées, dates, présences, données scolaires/administratives, données financières (revenus pour la PFP, factures, paiements).
- Catégories particulières (art. 9) : données de santé de l'enfant (allergies, vaccinations, PAI, consultations, incidents). Elles bénéficient d'un accès restreint et de mesures renforcées.
4. Obligations de Solencis (sous-traitant)
Conformément à l'article 28.3 du RGPD, Solencis s'engage à :
- (a) Instructions documentées — ne traiter les données que sur instruction documentée du Responsable (le présent accord et l'utilisation du service en faisant partie), y compris pour les transferts hors UE ;
- (b) Confidentialité — garantir que les personnes autorisées à traiter les données sont tenues à la confidentialité ;
- (c) Sécurité — mettre en œuvre les mesures techniques et organisationnelles appropriées (art. 32), décrites en Annexe 2 ;
- (d) Sous-traitants ultérieurs — ne recourir qu'aux sous-traitants listés en Annexe 3, en leur imposant les mêmes obligations, et informer le Responsable de tout changement envisagé (droit d'objection) ;
- (e) Droits des personnes — aider le Responsable à répondre aux demandes d'exercice des droits (accès, rectification, effacement, portabilité…) via les fonctions intégrées (registre, export, droit à l'oubli) ;
- (f) Assistance — aider le Responsable à respecter ses obligations de sécurité, de notification de violation et d'analyse d'impact (art. 32 à 36) ;
- (g) Fin du contrat — au choix du Responsable, supprimer ou restituer l'ensemble des données à la fin de la Prestation, et détruire les copies existantes, sauf obligation légale de conservation ;
- (h) Audits — mettre à disposition les informations nécessaires pour démontrer le respect de l'article 28 et permettre des audits raisonnables.
5. Violation de données
En cas de violation de données à caractère personnel, Solencis en informe le Responsable sans retard injustifié après en avoir pris connaissance, avec les éléments connus (nature, personnes et données concernées, conséquences probables, mesures prises), afin de permettre au Responsable de notifier l'Autorité de protection des données dans les 72 heures si nécessaire.
6. Transferts hors Union européenne
Les données applicatives sont hébergées dans l'Union européenne. Certains sous-traitants ultérieurs (voir Annexe 3) sont établis aux États-Unis ; les transferts correspondants sont encadrés par des clauses contractuelles types de la Commission européenne et/ou le EU-US Data Privacy Framework, ainsi que des garanties complémentaires (chiffrement en transit, non-réutilisation des données IA).
7. Responsabilités du Responsable
Le Responsable garantit qu'il dispose d'une base légale pour les données qu'il confie, qu'il a informé les personnes concernées (notamment les familles), et qu'il a recueilli les consentements requis (par ex. droit à l'image). Il est responsable de l'exactitude des données saisies.
Annexe 1 — Description du traitement
- Finalité : gestion administrative, pédagogique, sanitaire et financière d'un milieu d'accueil.
- Durée : durée de l'abonnement + délais légaux de conservation.
- Opérations : collecte, enregistrement, organisation, consultation, modification, génération de documents, transmission aux destinataires autorisés (ONE, parents), suppression.
Annexe 2 — Mesures de sécurité (art. 32)
- Cloisonnement strict par crèche (multi-tenant) appliqué au niveau de la base de données (Row Level Security) — chaque crèche ne voit que ses propres données.
- Contrôle d'accès par rôles et capacités fines (direction, comptable, médical…), accès aux données de santé restreint.
- Chiffrement en transit (HTTPS/TLS) et au repos (chiffrement de la base et du stockage).
- Authentification sécurisée, mots de passe chiffrés, liens partageables expirables/révocables avec second facteur pour les accès médicaux.
- Journalisation (horodatage et auteur des modifications), sauvegardes régulières et restauration possible.
- Photos en bucket privé, servies par URL signée (jamais publiques) ; espaces parents/pédiatre non indexés par les moteurs de recherche.
Annexe 3 — Sous-traitants ultérieurs autorisés
| Prestataire | Rôle | Localisation / garantie |
|---|---|---|
| Supabase | Base de données et stockage des fichiers | Union européenne (Francfort, DE) |
| Netlify | Hébergement de l'application web | États-Unis — clauses contractuelles types / DPF |
| Anthropic | Génération de texte par IA (sur demande) | États-Unis — CCT, zéro rétention, pas d'entraînement |
| Resend | Envoi des e-mails transactionnels | États-Unis — clauses contractuelles types |
| Stripe | Traitement des paiements d'abonnement | UE / États-Unis — CCT / DPF |
Acceptation
L'acceptation des présentes (lors de l'activation du service, par signature électronique ou par écrit) vaut conclusion de l'accord de sous-traitance entre le Responsable et Solencis. Droit belge ; compétence des tribunaux du siège de Solencis.
Document de référence — version susceptible d'évolution. Pour toute question : contact@solencis.com.